Cineplanet: Base de datos del cine expuso información confidencial de miles de clientes [FOTOS]

En medio de las crecientes preocupaciones acerca del nivel de seguridad de Internet, el equipo de investigación del portal SafetyDetective, el cual lide el especialista en seguridad Anurag Sen, descubrió la filtración de una enorme cantidad de datos personales de miles de clientes afiliados a la famosa cadena peruana de cines, Cineplanet.

La base de datos de la empresa estuvo alojada en un servidor en la nube de Microsoft Azure, con sede en la ciudad de Virginia, Estados Unidos. Sin ningún tipo de protección segura, cualquier persona con la dirección IP correcta era capaz de acceder a esta información a través de un navegador web.

De acuerdo con Anurag Sen, la base de datos contenía aproximadamente 14 millones de registros de inicio de sesión y expuso alrededor de 250 000 números de DNI. Entre los datos filtrados, se encontraron nombres completos, direcciones de correo electrónico, contraseñas sin cifrar, información parcial de pago y números de teléfono.

También se comprometió información de los miembros del programa de fidelidad de Cineplanet, incluyendo los números de sus documentos de identidad, su estado civil y laboral. La base de datos solo habría almacenado las credenciales correspondientes al periodo de un mes, recibiendo a diario alrededor de 1.5 millones de registros nuevos.

El acceso a la base de datos se bloqueó el jueves 23 de enero y actualmente ya no se encuentra en línea. No obstante, pese a que aún no se han detectado indicios de que cibercriminales hayan accedido a esta información, no se puede descartar esta posibilidad.

Anurag Sen asegura que esta filtración también “representa una amenaza física” para los usuarios. Al tener los nombres, números de teléfono y direcciones de domicilio, los delincuentes podrían fácilmente hacer seguimiento de sus víctimas y atacarlas en cualquier momento.

El historial de compras de los clientes puede incluso sugerir cuándo están fuera del hogar, ofreciendo una “excelente oportunidad para robar y arruinar propiedades”. Asimismo, podrían aprovechar la información técnica del dispositivo junto a la información personal o el historial de visualización de películas para que las estafas de phishing y malware sean más efectivas.

En declaraciones al diario Gestión, Verónica Vallarino, gerente de marketing de Cineplanet, señaló que actualmente están en medio de un “proceso de investigación para determinar el alcance y, por ende, qué datos exactamente se habrían filtrado”. Además, reconoció que la información estuvo alojada en un “servidor público”.

Respuesta de Cineplanet

A través de su cuenta oficial de Twitter, Cineplanet estuvo dando respuesta a los usuarios ante las múltiples quejas y exigencias de un pronunciamento oficial sobre los hechos ocurridos. “Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información”, indicó la empresa.

No obstante, ante la denuncia de un usuario frente a Indecopi sobre los datos bancarios expuestos, Cineplanet aclaró que “esta alerta no supone una fuga ni descarga de información. Este hecho se realizó sobre la base de datos de un grupo de transacciones que era analizada como parte de un período de pruebas y que implicaba al 3.6% de nuestros clientes registrados".

Enfatizaron que “de acuerdo con nuestros protocolos de seguridad informática, los datos financieros de nuestros clientes son almacenados encriptados, por lo que no son accesibles ni para personal de Cineplanet ni por terceros, en ninguna circunstancia”.

Actualmente, tanto la página web como la aplicación móvil de Cineplanet se encuentran fuera de servicio de forma intermitente.

Escucha nuestro podcast de tecnología